OAuth+XSS组合拳,数百万Web账户或将易主
💡
原文中文,约2500字,阅读约需6分钟。
📝
内容提要
Salt Security的研究人员发现,像Hotjar和Business Insider这样的网站存在跨站脚本漏洞,这可能会暴露敏感数据,并允许攻击者冒充合法用户。他们警告说,其他网站可能也存在类似漏洞,使数百万用户面临账户被接管的风险。网站管理员在实施OAuth时需要谨慎,以防止此类攻击。
🎯
关键要点
- Salt Security研究人员发现Hotjar和Business Insider网站存在跨站脚本漏洞,可能导致敏感数据暴露。
- 攻击者可以利用OAuth标准与XSS漏洞结合,冒充合法用户进行恶意活动。
- Hotjar和Business Insider的漏洞可能使数百万用户面临账户被接管的风险。
- OAuth标准在实施过程中可能被错误配置,导致严重的跨站漏洞。
- XSS是最常被利用的网络漏洞之一,允许攻击者注入恶意代码。
- Salt Security副总裁Yaniv Balmas表示,成功利用这两种攻击手段的攻击者将获得与受害者相同的权限。
- Hotjar和Business Insider的漏洞已被修复,但其他网站可能仍存在类似问题。
- 研究人员利用社交登录功能绕过了Hotjar和Business Insider的安全保护。
- 在实施OAuth时,网站管理员需要谨慎,以防止类似攻击的发生。
➡️
